И как оно спасет от:
[CODE]try {
attak_1();
} catch (err) {};
try {
attak_2();
} catch (err) {};
и т.д.
[/CODE]
или:
iframe.html ->
-> /attak_1.html
-> /attak_2.html
...
Printable View
И как оно спасет от:
[CODE]try {
attak_1();
} catch (err) {};
try {
attak_2();
} catch (err) {};
и т.д.
[/CODE]
или:
iframe.html ->
-> /attak_1.html
-> /attak_2.html
...
[QUOTE=Kuzz;668006]И как оно спасет от:
[CODE]try {
attak_1();
} catch (err) {};
try {
attak_2();
} catch (err) {};
и т.д.
[/CODE]
или:
iframe.html ->
-> /attak_1.html
-> /attak_2.html
...[/QUOTE]
для этого нужен javascript ?-CSRF? можно подробнее?
спасибо.
[QUOTE]try {
[/QUOTE]Да, это [COLOR="Gray"]псевдо[/COLOR]кот JS
Он может быть размещен на самом "поломаном" сайте, так что NoScript его разрешит. Особенно если сайт без JS неф-ционален
Для iframe+html все зависит от содержимого тех самых html-ин. Есть эксплоиты, не использующие JS. Напр. переполнение буфера при парсинге gif-ок
Kuzz-спасибо.+небольшое уточнение- применимо под win, исполнение JS должно быть разрешено в браузере, gif-подгрузка doc файла с довеском (установ. по умолчанию ,,открывать в-Microsoft Office,,)- правильно?
возможные дыры?
[QUOTE='rdog;668302']применимо под win[/QUOTE]
Сейчас - да, так как другими системами [B]пока что[/B] "не заморачиваются". В будущем все может измениться.
[QUOTE='rdog;668302']исполнение JS должно быть разрешено в браузере,[/QUOTE]
Для эксплоитов, построенных на JS.
[QUOTE='rdog;668302']gif-подгрузка doc файла с довеском (установ. по умолчанию ,,открывать в-Microsoft Office,,)- правильно? [/QUOTE]
gif и *.doc - лишь примеры. Все то, что автоматически (без запросов) обрабатывается браузером может быть использовано.
Скажем, если найдут очередную дыру при парсинге html - ничего не спасет
Когда-то попадались платные предложения менять "на лету" все реквизиты (IP /через цепочку highanonymity proxy/, версии ОС, типа браузера. локали и т.д.) Было интересно, но здравый смысл восторжествовал...
Уже довольно давно и довольно успешно использую песочницу SandBoxIE для любого браузера и всех неизвестных/подозрительных програм. Самое худшее что было - это закрытие браузера. Не знаю как дальне, но пока при нормальных настройках виртуалки это оптимальные вариант решения.
[I]"Сьешь эту таблетку - и ничего не было. Это матрица"[/I]
[QUOTE=NRA;668612]Когда-то попадались платные предложения менять "на лету" все реквизиты (IP /через цепочку highanonymity proxy/, версии ОС, типа браузера. локали и т.д.) Было интересно, но здравый смысл восторжествовал...
[I]"Сьешь эту таблетку - и ничего не было. Это матрица"[/I][/QUOTE]
,,платные предложения ,,-а зачем? когда есть отлично работающие free врианты.
tor+vidalia+torbutton(IP, версии ОС, типа браузера.) Если не заморачиваться с сменой ip и ОС ? то обычный User Agent ([url]https://addons.mozilla.org/ru/firefox/addon/59/[/url]) справляется отлично.